S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 16 octobre 2009
N° CERTA-2009-AVI-448
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilités dans Xpdf et dérivés

Gestion du document

Référence CERTA-2009-AVI-448
Titre Vulnérabilités dans Xpdf et dérivés
Date de la première version16 octobre 2009
Date de la dernière version07 avril 2010
Source(s)

Une gestion de version détaillée se trouve à la fin de ce document.

Risques

  • Déni de service à distance
  • Exécution de code arbitraire à distance

Systèmes affectés

Compte tenu de la réutilisation de fragments de code source, la liste suivante n'est pas exhaustive.

  • Xpdf 3.x ;
  • gpdf (GNOME 2.x) ;
  • KPDF (KDE 3.x) ;
  • CUPS 1.x ;
  • Poppler 0.x.

Résumé

Plusieurs vulnérabilités dans Xpdf et dans des applications qui en reprennent le code source permettent à un utilisateur malveillant de réaliser un déni de service, voire d'exécuter du code arbitraire, à distance.

Description

Plusieurs débordements d'entier dans Xpdf permettent à un utilisateur malveillant de provoquer un débordement du tas (heap). L'exploitation de cette vulnérabilité permet de provoquer un arrêt inopiné du logiciel ou d'exécuter du code arbitraire en incitant un utilisateur à ouvrir ou à imprimer un fichier au format PDF spécialement conçu.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 16 octobre 2009
    version initiale.
    le 27 novembre 2009
    ajout des références CVE et des bulletins de sécurité Red Hat, SuSE, Ubuntu et Debian.
    le 01 mars 2010
    ajout du bulletin de sécurité Oracle Solaris.
    le 07 avril 2010
    ajout du bulletin de sécurité Debian pour Xpdf.